Theo đó, từng đơn vị phải đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin của đơn vị mình; xác định các hệ thống công nghệ thông tin quan trọng và áp dụng chính sách đảm bảo an toàn bảo mật phù hợp.
Các đơn vị phải xây dựng quy chế an toàn, bảo mật hệ thống công nghệ thông tin phù hợp với hệ thống công nghệ thông tin, cơ cấu tổ chức, yêu cầu quản lý và hoạt động của đơn vị. Quy chế an toàn, bảo mật hệ thống công nghệ thông tin quy định về các nội dung cơ bản sau: a- Quản lý tài sản công nghệ thông tin; quản lý sử dụng thiết bị di động; quản lý sử dụng vật mang tin; b- Quản lý nguồn nhân lực; c- Đảm bảo an toàn về mặt vật lý và môi trường; d- Quản lý vận hành và truyền thông; đ- Quản lý truy cập; e- Quản lý dịch vụ công nghệ thông tin của bên thứ 3; g- Quản lý tiếp nhận, phát triển, duy trì hệ thống thông tin; h- Quản lý sự cố công nghệ thông tin; i- Đảm bảo hoạt động liên tục của hệ thống công nghệ thông tin; k- Kiểm tra, báo cáo hoạt động công nghệ thông tin.
Các đơn vị phải rà soát, chỉnh sửa, hoàn thiện quy chế an toàn, bảo mật hệ thống công nghệ thông tin tối thiểu mỗi năm 1 lần, đảm bảo sự đầy đủ của quy chế theo các quy định tại Thông tư này.
Khi tuyển dụng, phân công người làm việc tại các vị trí quan trọng của hệ thống công nghệ thông tin như quản trị hệ thống, quản trị hệ thống an ninh bảo mật, vận hành hệ thống, quản trị cơ sở dữ liệu, đơn vị phải xem xét, đánh giá nghiêm ngặt tư cách đạo đức, trình độ chuyên môn thông qua lý lịch, lý lịch tư pháp. Đồng thời, yêu cầu người được tuyển dụng phải cam kết bảo mật thông tin bằng văn bản riêng hoặc cam kết trong hợp đồng lao động. Cam kết này phải bao gồm các điều khoản về trách nhiệm đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong và sau khi làm việc tại đơn vị.
Không cung cấp ứng dụng giao dịch trực tuyến khi chưa an toàn
Đối với nơi lắp đặt trang thiết bị công nghệ thông tin yêu cầu bảo vệ bằng tường bao, cổng ra vào hoặc có các biện pháp kiểm soát, hạn chế rủi ro xâm nhập trái phép; thực hiện các biện pháp phòng chống nguy cơ do cháy nổ, ngập lụt.
Hệ thống dịch vụ giao dịch trực tuyến phải được giám sát chặt chẽ có khả năng phát hiện, cảnh báo về: các giao dịch đáng ngờ, gian lận dựa vào việc xác định thời gian, vị trí địa lý, tần suất giao dịch, số tiền giao dịch, số lần xác thực sai quy định và các dấu hiệu bất thường khác; các cuộc tấn công từ chối dịch vụ (DoS), tấn công từ chối dịch vụ phân tán (DDoS).
Thông tin nhạy cảm của khách hàng phải được mã hóa ở lớp ứng dụng; không cung cấp phần mềm ứng dụng giao dịch trực tuyến trên Internet khi chưa áp dụng các biện pháp đảm bảo an toàn, bảo mật cho khách hàng.
Dữ liệu của các hệ thống công nghệ thông tin quan trọng phải được sao lưu ra phương tiện lưu trữ ngoài (như băng từ, đĩa cứng, đĩa quang hoặc phương tiện lưu trữ khác) và cất giữ, bảo quản an toàn tách rời với khu vực tiến hành sao lưu.
Ngoài ra, Thông tư cũng quy định cụ thể về việc đơn vị phải có kế hoạch và tổ chức triển khai diễn tập đảm bảo hoạt động liên tục hệ thống công nghệ thông tin tối thiểu 3 tháng/lần, tiến hành kiểm tra, đánh giá hoạt động của hệ thống dự phòng. Tối thiểu 6 tháng/lần, phải thực hiện diễn tập chuyển hoạt động của từng hệ thống từ hệ thống chính sang hệ thống dự phòng theo kịch bản đã xây dựng…
Thông tư này có hiệu lực thi hành kể từ ngày 1/3/2016.